Questão nº 73
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 73)
Uma equipe identificou que um servidor web crítico foi comprometido por um atacante que explorou uma vulnerabilidade de aplicação. A análise inicial revelou que o atacante instalou uma webshell e está usando o servidor para movimentação lateral na rede. O servidor processa transações financeiras e está em produção atendendo clientes.
O analista de segurança precisa decidir a ação imediata mais adequada na fase de contenção do incidente, conforme boas práticas de resposta a incidentes (NIST SP 800-61 e ISO/IEC 27035).
Assinale a opção que apresenta a estratégia de contenção apropriada para esse cenário.
- ADesligar imediatamente o servidor comprometido para prevenir danos adicionais, mesmo que cause indisponibilidade do serviço, pois a prioridade absoluta é impedir que o atacante continue acessando o sistema.
- BManter o servidor em operação normal sem alterações, enquanto realiza monitoramento detalhado das atividades do atacante por 48 horas, coletando evidências extensivas antes de qualquer ação de contenção.
- CImplementar contenção segmentada isolando o servidor da rede por meio de regras de firewall que bloqueiem comunicação lateral mas mantenham o acesso de clientes externos, enquanto inicia investigação forense em memória e preserva evidências, consultando stakeholders sobre janela de manutenção para contenção completa. (alternativa correta)
- DExecutar imediatamente procedimento de reimagem do servidor com backup limpo anterior à data do comprometimento, restaurando o serviço rapidamente, e considerar o incidente resolvido sem necessidade de análise forense detalhada.
- ENotificar imediatamente a ANPD (Autoridade Nacional de Proteção de Dados) e publicar comunicado público sobre o incidente, antes de realizar qualquer ação técnica de contenção, para cumprir requisitos de transparência da LGPD.
Resposta comentada
Gabarito Alternativa C
A fase de contenção em resposta a incidentes de segurança busca limitar o dano e impedir a propagação do ataque, equilibrando a necessidade de parar o invasor com a manutenção da operação dos sistemas críticos.
- A) Incorreta: Desligar imediatamente um servidor crítico em produção causa indisponibilidade total do serviço, o que pode ter um impacto financeiro e operacional severo, especialmente para transações financeiras. Embora pare o atacante, é uma medida drástica que não considera a continuidade do negócio e pode ser evitada com contenção mais estratégica.
- B) Incorreta: Manter o servidor em operação normal com um atacante dentro, realizando movimentação lateral e processando transações financeiras, é extremamente arriscado. Isso permite que o atacante cause mais danos, exfiltre dados sensíveis ou comprometa outros sistemas, priorizando a coleta de evidências em detrimento da segurança imediata.
- (C) Correta: Esta é a estratégia mais equilibrada e alinhada com as boas práticas. A contenção segmentada (isolando da rede interna via firewall) impede a movimentação lateral do atacante, enquanto a manutenção do acesso externo minimiza o impacto nos clientes e na receita. A investigação forense em memória coleta evidências voláteis cruciais antes de qualquer reinicialização ou desligamento, e a consulta a stakeholders garante que futuras ações sejam planejadas com o menor impacto possível.
- D) Incorreta: A reimagem imediata com backup limpo sem análise forense detalhada é uma abordagem de "apagar e recomeçar" que ignora a causa raiz e o escopo total do incidente. Sem entender como o atacante entrou e o que ele fez, a mesma vulnerabilidade pode ser explorada novamente, e outros sistemas comprometidos podem passar despercebidos.
- E) Incorreta: A notificação à ANPD e a comunicação pública são passos importantes para a conformidade (LGPD), mas são geralmente realizados após ou em paralelo às ações de contenção e erradicação. A prioridade imediata é estancar o ataque e proteger os sistemas, não a comunicação externa, que pode ser prematura e imprecisa sem informações completas.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.